NPM-ում խոցելիություն, որը թույլ է տալիս կամայական ֆայլերը փոփոխել փաթեթի տեղադրման ժամանակ

NPM 6.13.4 փաթեթի կառավարչի թարմացումում, որը ներառված է Node.js բաշխման մեջ և օգտագործվում է JavaScript լեզվով մոդուլներ բաշխելու համար, վերացվել է երեք խոցելիություն (CVE-2019-16775- ը, CVE-2019-16776- ը и CVE-2019-16777- ը), որը թույլ է տալիս կամայական համակարգի ֆայլերը փոփոխել կամ վերագրանցել հարձակվողի կողմից պատրաստված փաթեթը տեղադրելիս: Որպես պաշտպանության միջոց՝ դուք կարող եք տեղադրել այն «-ignore-scripts» տարբերակով, որն արգելում է ներկառուցված մշակող փաթեթների կատարումը: NPM մշակողները վերլուծել են պահեստում առկա փաթեթները և չեն հայտնաբերել հայտնաբերված խնդիրների հետքեր, որոնք օգտագործվում են հարձակումներ իրականացնելու համար:

CVE-2019-16777- ը դրսեւորվում է 6.13.4-ից առաջ թողարկումներում և թույլ է տալիս վերագրանցել համակարգի գործարկվող ֆայլերը գլոբալ փաթեթի տեղադրման ժամանակ: Դուք կարող եք փոխարինել ֆայլերը միայն նպատակային գրացուցակում, որտեղ տեղադրված են գործարկվող ֆայլերը (սովորաբար /usr/local/bin):

CVE-2019-16775- ը и CVE-2019-16776- ը հայտնվեն մինչև 6.13.3 թողարկումներում և թույլ են տալիս գրել կամայական ֆայլ՝ ստեղծելով խորհրդանշական հղում դեպի գրացուցակից դուրս գտնվող ֆայլերը մոդուլներով (node_modules) կամ մանիպուլյացիայի ենթարկելով bin դաշտը package.json-ում (ուղիները «/../»-ով էին: թույլատրվում է աղբամանի դաշտում):

Source: opennet.ru